Microsoft Defender for Identity là gì?

Microsoft Defender for Identity là gì?

Microsoft Defender for Identity (trước đây là Azure Advanced Threat Protection, còn được gọi là Azure ATP) là một giải pháp bảo mật dựa trên đám mây sử dụng các tín hiệu Active Directory tại chỗ của bạn để xác định, phát hiện và điều tra các mối đe dọa nâng cao, danh tính bị xâm phạm và hành động nội gián độc hại trực tiếp vào tổ chức của bạn.

Defender for Identity cho phép các nhà phân tích SecOp và các chuyên gia bảo mật đang cố gắng phát hiện các cuộc tấn công nâng cao trong môi trường kết hợp để:

  • Giám sát người dùng, hành vi của tổ chức và hoạt động bằng phân tích.
  • Bảo vệ danh tính người dùng và thông tin đăng nhập được lưu trữ trong Active Directory.
  • Xác định và điều tra các hoạt động đáng ngờ của người dùng và các cuộc tấn công nâng cao trong suốt chuỗi (kill chain).
  • Cung cấp thông tin sự cố rõ ràng trên một dòng thời gian đơn giản để phân tích nhanh.

Giám sát và lập hồ sơ hành vi và hoạt động của người dùng

Defender for Identity giám sát và phân tích các hoạt động và thông tin của người dùng trên mạng của bạn, chẳng hạn như quyền và tư cách thành viên nhóm, tạo cơ sở hành vi cho mỗi người dùng. Sau đó, Defender for Identity xác định các điểm bất thường bằng trí thông minh tích hợp thích ứng, cung cấp cho bạn thông tin chi tiết về các hoạt động và sự kiện đáng ngờ, tiết lộ các mối đe dọa nâng cao, người dùng bị xâm phạm và các mối đe dọa nội bộ mà tổ chức của bạn phải đối mặt. Các cảm biến độc quyền của Defender for Identity giám sát domain controllers, cung cấp cái nhìn toàn diện cho tất cả các hoạt động của người dùng từ mọi thiết bị.

Bảo vệ danh tính người dùng & giảm bề mặt tấn công

Defender for Identity cung cấp cho bạn thông tin chi tiết vô giá về cấu hình nhận dạng và các phương pháp hay nhất về bảo mật được đề xuất. Thông qua các báo cáo bảo mật và phân tích hồ sơ người dùng, Defender for Identity giúp giảm đáng kể bề mặt tấn công của doanh nghiệp, giúp khó xâm phạm thông tin đăng nhập của người dùng hay tiến hành một cuộc tấn công. Lateral Movement Paths của Defender for Identity giúp bạn nhanh chóng hiểu chính xác cách kẻ tấn công có thể di chuyển bên trong doanh nghiệp của bạn để xâm phạm các tài khoản nhạy cảm và hỗ trợ ngăn chặn trước những rủi ro đó. Báo cáo bảo mật của Defender for Identity giúp bạn xác định người dùng và thiết bị xác thực bằng clear-text passwords và cung cấp thêm thông tin chi tiết để cải thiện chính sách và tư thế bảo mật cho toàn doanh nghiệp.

Bảo vệ AD FS trong môi trường hybrid

Active Directory Federation Services (AD FS) đóng một vai trò quan trọng trong cơ sở hạ tầng ngày nay khi nói đến xác thực trong môi trường hybrid. Defender for Identity bảo vệ AD FS trong môi trường của bạn bằng cách phát hiện các cuộc tấn công on-premise vào AD FS và cung cấp khả năng hiển thị các sự kiện xác thực do AD FS tạo ra.

Xác định các hoạt động đáng ngờ và các cuộc tấn công nâng cao trên chuỗi tiêu diệt (kill-chain) tấn công mạng

Thông thường, các cuộc tấn công được thực hiện chống lại bất kỳ thực thể nào có thể truy cập được, chẳng hạn như người dùng có đặc quyền thấp, sau đó nhanh chóng di chuyển theo chiều ngang cho đến khi kẻ tấn công giành được quyền truy cập vào các tài sản có giá trị – chẳng hạn như tài khoản nhạy cảm, quản trị viên tên miền và dữ liệu nhạy cảm cao. Defender for Identity xác định các mối đe dọa nâng cao này tại nguồn trong toàn bộ chuỗi tiêu diệt (kill-chain) tấn công mạng:

Reconnaissance

Xác định người dùng giả mạo và những kẻ tấn công cố gắng lấy thông tin. Những kẻ tấn công đang tìm kiếm thông tin về tên người dùng, tư cách thành viên nhóm của người dùng, địa chỉ IP được gán cho thiết bị, tài nguyên và hơn thế nữa, bằng nhiều phương pháp khác nhau.

Compromised credentials

Xác định các xâm phạm thông tin đăng nhập của người dùng bằng các cuộc tấn công brute force, xác thực không thành công, thay đổi thành viên nhóm người dùng và các phương pháp khác.

Lateral movements

Phát hiện các di chuyển ngang (laterally) bên trong mạng để giành quyền kiểm soát hơn nữa đối với những người dùng có thông tin nhạy cảm, sử dụng các phương pháp như Pass the Ticket, Pass the Hash, Overpass the Hash v.v..

Domain dominance

Làm nổi bật hành vi của kẻ tấn công nếu đạt được sự thống trị miền, thông qua thực thi mã từ xa trên bộ điều khiển miền và các phương pháp như DC Shadow, sao chép bộ điều khiển miền độc hại, hoạt động Golden Ticket, v.v.

Điều tra cảnh báo và hoạt động của người dùng

Defender for Identity được thiết kế để giảm nhiễu cảnh báo chung và chỉ cung cấp các cảnh báo bảo mật quan trọng, có liên quan trong tiến trình tấn công một cách có tổ chức đơn giản theo thời gian thực. Chế độ xem dòng thời gian của cuộc tấn công (attack timeline view) trong Defender for Identity cho phép bạn dễ dàng tập trung vào những gì quan trọng, tận dụng trí tuệ của các phân tích thông minh. Sử dụng Defender for Identity để nhanh chóng điều tra các mối đe dọa và có được thông tin chi tiết về người dùng, thiết bị và tài nguyên mạng trong toàn doanh nghiệp. Tích hợp liền mạch với Microsoft Defender cho Endpoint cung cấp một lớp bảo mật nâng cao khác bằng cách phát hiện và bảo vệ bổ sung chống lại các mối đe dọa liên tục nâng cao trên hệ điều hành.

Theo VinSEP

About The Author